ein pferd namens TR/Rootkit.L

Hallo,

versuch dein Glück im abgesicherten Modus

hey...

danke für die antwort...nun...es war eh nicht mein rechner und nu bin ich auch
wieder zu hause. der eigentümer meinte er macht den rechner platt...mir solls egal sein. is ja seiner

trotzdem danke...

Gruß jan

Hi...

mir ploppt hier alle 10 sekunden ein fenster von Antivir SE auf mit der netten meldung das wohl ein Trojaner in der Datei RDRIV.SYS steckt. Und zwar wie im betreff erwähnt TR/Rootkit.L

Löschen geht nicht und AdAware brachte auch irgendwie nix. gebt mit mal nen guten Tip wie ich den zossen wieder vor die tür setze....

Gruß Jan

Der Trojaner TR/Rootkit.l ist auch mir bekannt. Er ist lästig, aber besiegbar. Und zwar gibt es einen einfachen Weg, in los zu werden:

Erstmal ist das Programm EWIDO sehr nützlich, da es effektiver sucht als AntiVir. Damit lässt sich der Trojaner lokalisieren und eventuell sogar entfernen. Ist auf jeden Fall einen Versuch wert.

Einen sicheren Weg beschreibe ich jetzt hier:

AntiVir findet den Trojaner in der Datei "rdriv.sys" im Ordner Windows\system32. Jetzt wisst ihr, wo er ist. Die datei kann allerdings so ohne weiteres nicht glöscht werden. Hier der Lösungsweg:

1. Startet Windows im Abgesicherten Modus

2. Sucht nach der Datei "rdriv.sys"

3. Im Abgesicherten Modus kann die Datei gelöscht werden, allerdings wird nach einem Neustart eine neue Datei an der Stelle erzeugt, der Trojaner wäre wieder da.

4. Um dies zu verhindern, erstellt ihr einfach eine Neue Datei, z.B. ein Textdokument ohne Inhalt, benennt es um in "rdriv.sys" und setzt es in den Eigenschaften auf "schreibgeschützt". Diese Datei verschiebt ihr nun in den Ordner Windows\System32, da wo der Trojaner war. (alles im abgesicherten Modus)

5. Startet Windows ganz normal neu, und lasst eure Virenscanner (oder EWIDO) nach infizierten Dateien suchen. Sie dürften nichts finden.

Anmerkung: Wird der Status "schreibgeschützt" nicht gesetzt, ist der Trojaner möglicherweise wieder da, da er die erstellte Datei überschreiben kann.

Jetzt solltet ihr das Ding los sein.

boah genial 

danke, ich such schon seit ner ewigkeit im netz nach ner lösung und hab alle möglichen superkomplizierten methoden gefunden die nichtmal erfolg versprechen

ich werds gleich mal ausprobiern 

Großen Dank an gtx200,
ich hatte das gleiche Problem und konnte es mit deinem Rezept lösen.
Habe nur im abgesicherten Modus die Datei mit Wordpad geöffnet und
den Inhalt rausgelöscht.Dann schreibgeschützt und alles ist wieder schön.
Gut dass es jemanden gibt, der sich damit auskennt!

Die Methode funktioniert sehr gut, aber: wenn ich dann später die selbst erzeugte "rdriv.sys" wieder lösche, steht nach einem Neustart wieder die Trojaner-rdriv.sys im system32. Also ist der Virus doch noch irgendwo im System gespeichert, aber wo?

Jetzt wirds richtig knifflig ...

mfg aus Augsburg

Der Virus läst sich nicht beseitigen, da man immer nur Schattendateien des Virus jagt, das einzige was hilft, ist die Festplatte inklusive Masterbootrecord zu formatieren und wenn man genug Backups hat keine Daten vom infizierten System zu übernehmen.
DerVirus ist ein fieses Ding, alle Passwörter und Daten sollten als bekannt angenommen werden und somit sicherheitshalber geändert werden.

http://www.firewallinfo.de/index.php?option=com_content&task=view&id=3158&Itemid=1122

"Rootkits sind deshalb so brutal, weil sie kaum erkennbar sind und selbst wenn das gelingt, ist aktuell keine Software in der Lage, sie restlos aus dem System zu entfernen."

***

http://www.sysinternals.com/Utilities/RootkitRevealer.html

Hallo,
eine Desinfektion des PC vom der Malware TR/Rootkit.L (Bezeichnung bei AntiVir) sollte mit der folgenden einfach zu bedienende Software möglich sein:
AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles kostenloses Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
2a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
2b. Pattern, ca. 8 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Bei Trend Micro wird die Malware unter den Namen TROJ_ROOTKIT.E geführt.

Anschließend die folgenden Schritte ausführen:
Dazu beachte die nachfolgende Anleitung, diese gilt ohne Ausnahme für alle Antivirusprogramme bei einer vermuteten oder vorhandene Malware Infektion:
Für die nachstehenden Schritte sind Administrator-Berechtigungen zwingend notwendig!

1. Den bereits vorhanden installierten Virenscanner aktualisieren
2. PC vom Netzwerk und Internet trennen
3. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
4. PC im abgesicherten Modus starten
(Für den Punkt 3 und 4 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
5. Das komplette System mit dem Viren-Schutzprogramm scannen, mit der Einstellung  “Alle Dateien“, “Archive“ und “Gepackte Dateien“!
6. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
·   infizierte Dateien löschen
·   Einträge aus der Windows-Registrierung entfernen
7. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Alternativ kann auch die Anweisung zur manuellen Bereinigung von Trend genützt werden:
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=TROJ_ROOTKIT.E

Achtung!
Es gibt zahlreiche Varianten von Malware die ebenfalls die Datei rdriv.sys für ihre schädlichen Absichten nützen.
Die Malware bedient sich gerne der bekannten Sicherheitslücken von Windows, es ist dringend zu empfehlen, sein System zu überprüfen, ob alle Windows Sicherheitspatches installiert sind, fehlende sollten umgehend installiert werden!

Hallo,

wollte eben diese Datei "rdriv.sys" in meinem XP sichern - aber - ich finde diese Datei überhaupt nicht.
Wird die erst durch den Trojaner erzeugt ???

raipa

Ich denke mal Du findest die nich, weil:

Die Datei rdriv.sys mit Troj/Rootkit-W zusammen hängt.
Beim erstmaligen starten erstellt W32/Tilebot-O die Datei driv.sys.
Und wenn Dein PC nicht infiziert ist damit, dann isses auch normal das man die nich findet...vermute ich zumindest.

http://www.pc-magazin.de/internet/cm/virenecke/show_sophos.php?id=916

wird wohl so sein !

Danke

raipa

Hallo,
ich habe hier vor kurzem ein Problem im Hardware Bereich bezgl. Reboots geschildert, da muss ich im Moment aber noch abwarten, ob es gelöst ist.
Nun zu meinem neuen Problem. Ich habe heute morgen routinemäßig und auf einmal findet er "TR/Rootkit.P".
Ich habs dann in die Quarantäne geschoben und mich erstmal über Google informiert. Allerdings fand ich überall, wie auch hier, nur "TR/Rootkit.L. Kenn mich da nicht aus. Daher, ist das ein Unterschied?
Auf jeden Fall hab ich sie nachher aus der Quarantäne gelöscht und den PC neugestartet. Jetzt findet AntiVir nichts mehr. Ist die Datei nun wirklich weg und ist mein PC sicher?

Sorry, hatte ganz vergessen Betriebssystem mit zu erwahnen;

Dell Dimension 8400:
- Windows XP Home Edition, SP 2

Hier hab ich auch nochmal ein HijackThis Logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 11:32:47, on 27.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Electronic Arts\EA Downloader\Core.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\totalcmd\TOTALCMD.EXE
c:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - Unknown owner - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe (file missing)
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - Unknown owner - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe



 

... sieht so aus!

Aber du hast zwei Virenscanner laufen,
Norton AntiVirus und AntiVir, das einer zuviel.
Deinstalliere einen von beiden unbedingt!

Danke HELP!

Ist es denn sicher, dass er weg ist, oder sollte ich nochmal irgendwelche Programme  drüberlaufen lassen ums zu checken?

Und das mit den Virenscannern?
Soweit ich weiß ist Norten AntiVirus btw. Norton Internet Security kostenpflichtig, oder? Wenn ja, dann war es als Testversion von Anfang an auf dem DELL drauf. Werd es dann mal deinstallieren.

Und das mit den Virenscannern?
Soweit ich weiß ist Norten AntiVirus btw. Norton Internet Security kostenpflichtig, oder? Wenn ja, dann war es als Testversion von Anfang an auf dem DELL drauf. Werd es dann mal deinstallieren.

Richtig!

Wenn du willst überprüfe deinen PC mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan  vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bei Rückfragen bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.
 

Hallo, und nochmals Danke,

ich werde es morgen mal so nach deiner Anleitung machen.

Hallo,

habe nun zunächst einmal noch keinen F-Secure-Check gemacht. Habe das Gefühl, dass sich kein Virus bei mir versteckt, denn ich konnte ihn ja auch löschen und auch nach Neustart des PCs ist er nicht wieder da. Falls mir irgendwas komisch vorkommt, mach ich aber so einen Test und meld mich mit den Ergebnissen/Berichten hier.

Grüße, Kubax

Hallo,

 

Habe das Gefühl, dass sich kein Virus bei mir versteckt

Mal andersrum gefragt....

Wie fühlt es sich denn an,wenn man einen Virus/Trojaner hat ?
Ob bei einem Computer wirklich Gefühle eine Rolle spielen sollten...
Sir Reklov